Domů arrow Pokročilé arrow Bezpečnost arrow Šifrujeme souborový systém
Šifrujeme souborový systém PDF Tisk E-mail
Zhlédnutí: 2822
Hodnocení čtenářů: / 0
SlabéVynikající 
Napsal filbar   
Pátek, 11 listopad 2005
Aktualizováno ( Středa, 02 listopad 2005 )
Pokud se zajímáte o problematiku šifrování souborového systému v Linuxu, tak jste se dostali na to správné místo. V tomto článku se budeme tím totiž budeme zabývat. Ukažeme si jak zašifrovat nejprve nesystémový oddíl a také hlavní systémový oddíl.
Použijeme k tomu dva programy-cryptowizard a cryptsetup, který pro svou práci potřebuje ještě device-mapper, libgcrypt a libgpg-error.Pokud chceme místo příkazového řádku využít dialogová okna(sice jenom textová), stáhneme si ještě dialog.

Instalace

Balíčky libgpg-error, libcrypt, device-mapper a cryptsetup nainstalujeme obvyklým způsobem pomocí ./configure && make a s právy superuživatele make install. Balíček cryptowizard kompilovat nemusíme, stačí je jej pouze rozbalit a zadat příkaz ./install.sh s právy roota.  Na závěr doporučuji provést také instalaci dialogu, protože příkazový řádek programu nefunguje nejlépe.
Aby program správně pracoval,nesmíme zapomenout zkontrolovat nastavení jádra Linuxu. Musí být zaškrtnuty položky:
Device Drivers>Multiple devices driver support>Device mapper support
Device Drivers>Multiple devices driver support>Crypt target support
Cryptographic Options>Blowfish cipher algoritm
Cryptographic Options>Aes cipher algorithms
Pokud máme v úmyslu používat pro uschování klíče USB klíčenku, podíváme se také na:
Device Drivers>SCSI device support>SCSI device support
Po rekompilaci jádra(pokud nebyly požadované volby vybrané) a restartu systému můžeme začít program používat.

Šifrování nesystémových oddílů

Začneme jednodušší variantou šifrování a to šífrování oddílů, kterémůžeme za běhu systému připojovat a odpojovat,  jako oddíl s adresáři/home a /mnt. Na prvním si to ukážeme.
Pro začátek si musíme vytvořit prázdný oddíl, na který budeme kopírovat obsah adresáře /home. Program spustíme zadáním cryptowizardv příkazovém řádku a s právy roota. Pokud máme všechny potřebné modulypro program nainstalované zobrazí se nám jednoduché menu. Možná ještěbudeme muset potvrdit vytvoření zařízení /dev/mapper. Pokud bychom někdypotřebovali provést tuto činnost sajostatně, je za ní zodpovědný skriptmap.sh v podadresáři scripts balíčku cryptowizard.
V zobrazeném dialogu si vybereme nejlépe volbu 2, abychomsizobrazili volby v dialozích. Zde začneme zadáním oddílu,který chcemepoužívat jako šifrovaný ve tvaru /dev/hd*(pro případ ATA disků). Dálebudeme vyzvání, abychom zadali zařízení pro uložení klíče. V případě USBklíčenky zadáme /dev/sd*. Pokud si jej chceme uložit na CD,coždoporučuji jako bezpečnější, zvolíme třeba aktuální oddíl. Do kořene sepřidá pouze adresář key,který si pak vypálíme. V tomto adresáři můžemeuložit i více klíčů a ty pak vypálit.

Pokračujeme zadáním přípojného bodu, kde se bude zařízení s klíčempřipojovat. V následujícím dialogu si šifrování pojmenujeme(např. home) a přesunemese do dialogu, kde máme na výběr a algoritmu blowfish, nebo aes. Pokudzvolíme aes, můžeme použít délku 128, 192, nebo 256 bitů. V případěblowfish je napíšeme požadovanou délku v rozsahu 32-448 bitů.

Tímse dostáváme do závěru přípravy šifrování. V dalším kroku si vyberemejestli se vybraný oddíl bude používat jako swap, nebo normální oddíl ajeho souborový systém. Pokud toto potvrdíme začne samotné šifrováníoddílu, při čemž se z něj vymažou všechna data. Ještězapíšeme přípojný bod oddílu, což je v případě domovského adresáře /homea také můžeme zadat speciální volby pro připojení.

Na konec se nám ještě zobrazí informace, kde máme hledat skript propřipojení oddílu. Obvykle je to adresář /etc/cryptowizard/initscipts/.Když toto dialogové okno potvrdíme, musíme ještě program ukončitklávesou 4.

Nyní nastal čas pro přesunutí adresáře /home na tento nový oddíl. Takéby bylo vhodné přesunout skript pro připojení oddílu do /etc/init.d avytvoření symbolických odkazů do příslušných úrovní běhu.
Pokud nyní zadáme příkaz /etc/init.d/crypto.jmenosifrovani(např. crypto.home) stop a poté se pokusíme tento oddíl připojit pomocíobvyklého mount uvidíme,že to již nejde.Musíme použít /etc/init.d/crypto.home start. Pokud teda všechno funguje, můžeme původní adresář /home vymazat.
To by bylo pro dnešek všechno a příště se podíváme na to,jak si zašifrovat hlavní souborový systém a oddíl se swapem.
Komentářů
Přidat Nový Hledat RSS
Přidat komentář
Jméno:
Email:
 
Website:
Název:
UBBKód:
[b] [i] [u] [url] [quote] [code] [img] 
 
 
:angry::0:confused::cheer:B):evil::silly::dry::lol::kiss::D:pinch:
:(:shock::X:side::):P:unsure::woohoo::huh::whistle:;):s
:!::?::idea::arrow:
 
Please input the anti-spam code that you can read in the image.

3.22 Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."
 
[Zpět]

Zapomenuté heslo
Nemáte účet? Vytvořte jej!
Skype: My status bartfil
Jabber: bartmann@rupyhost.cz

Oznámení

Doporučujeme

Příběhy psů z útulků